ISACA Journal
Volume 1, 2,016 

Translated Articles 

Cómo COBIT 5 mejora la capacidad de procesos de trabajo de auditores, profesionales de aseguramiento y evaluadores 

Graciela Braga, CGEIT, COBIT Foundation, CPA  

Los auditores de SI y TI, los profesionales de aseguramiento y los evaluadores realizan auditorías, trabajo de aseguramiento o evaluaciones de los procesos de TI (la asignación) y, además del objetivo final, desempeñan tareas en común, como la planificación y realización de actividades, y la información de resultados.

El trabajo implica la evaluación de procesos que pertenecen a otros. Sin embargo, ¿quién evalúa los procesos de trabajo del auditor, el profesional de aseguramiento o el evaluador? ¿Qué tan adecuados son los procesos de trabajo en lo que respecta a cumplir el objetivo de la tarea asignada definido por el empleador, el gerente ejecutivo, el consejo de administración, el cliente, el patrocinador o el revisor externo?

El Programa de Evaluación COBIT 5 puede ser de utilidad.

Incorpora el Modelo de Referencia de Proceso COBIT 5 e ISO/IEC 15504 como base para el marco de medición y el proceso de evaluación. Esto significa que:

  • Las especificaciones del proceso utilizadas en la evaluación se basan en COBIT 5.
  • La capacidad de cada proceso evaluado se expresa en términos de una escala de calificación de 0 a 5, sobre la base de las normas internacionales de la Organización Internacional de Normalización (International Organization for Standardization, ISO).1

Dado que la Guía de autoevaluación de COBIT: Uso de COBIT 52 y el Modelo de Evaluación de Proceso (PAM) de COBIT: Uso de COBIT 53 de ISACA explican en detalle cómo realizar la evaluación, este artículo no describe la realización de esta tarea. En cambio, proporciona un ejemplo de cómo determinar si un proceso de trabajo está en una capacidad de nivel 1, y una reflexión sobre por qué y cómo los auditores, los profesionales de aseguramiento y los evaluadores deben pensar y mejorar sus propios niveles de capacidad.

Marco De Medición

Como menciona la Guía de autoevaluación de COBIT: Uso de COBIT 5, el proceso de evaluación supone determinar una calificación de capacidades para un proceso, lo que comprende:4

  • Niveles de capacidades definidos (según ISO/ IEC 15504) (figura 1)
  • Atributos de procesos que se utilizarán para calificar cada proceso (según ISO/IEC 15504) (figura 2)
  • Indicadores sobre los cuales basar el logro de evaluación de cada atributo del proceso (sobre la base de ISO/IEC 15504):
    • Nivel de capacidad 1. Los indicadores son específicos de cada proceso y evalúan si se ha logrado el siguiente atributo: El proceso implementado logra su propósito. El nivel 1 se ocupa del contenido detallado de los procesos de COBIT 5, por lo que se debe definir el trabajo según los términos de COBIT 5.
    • Niveles de capacidad 2 a 5. La evaluación de la capacidad se basa en indicadores de desempeño de procesos genéricos. Estos se denominan genéricos porque se aplican en todos los procesos, pero difieren de un nivel de capacidad a otro.

Nivel De Capacidad 1: Definición De las Especificaciones Del Proceso De Trabajo

Hay marcos de auditoría sumamente reconocidos y útiles, como el de ISACA, ITAF: Marco de Prácticas Profesionales para Auditoría/Aseguramiento de SI5 o las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (las Normas)6 del Instituto de Auditores Internos (IIA), pero en general, los aspectos clave son los mismos.

Según COBIT 5, se debe definir el proceso en sí, lo que incluye su propósito, sus resultados, prácticas básicas y productos de trabajo. Por ejemplo, se puede definir el trabajo usando las palabras de la figura 3.

Definir el Nivel De Capacidad Adecuado o Necesario

Como parte de la evaluación, los profesionales deben elegir el nivel de capacidad que requiere su trabajo, dependiendo de algunas consideraciones:7

  • Ambiente profesional. El nivel necesario se puede establecer mediante reglamentaciones o normas, si la asignación se encuentra bajo la revisión de un tercero o contralor (por ejemplo, protección de inversores a través de la supervisión de auditoría [PCAOB] u organismos gubernamentales), o si debe cumplir con determinadas normas (por ejemplo, los marcos de ISACA).
  • Metas esperadas, beneficios y consideraciones de dotación de recursos. Por ejemplo, si el profesional desea posicionar su trabajo o sus honorarios como de “primera clase” o mejorar su proceso de trabajo; si el personal profesional es muy amplio o si la estructura es muy compleja y abarca muchos niveles.

Indicadores De Capacidad De Procesos De Niveles 2 a 5

La evaluación de los niveles de capacidad 2 a 5 se basa en indicadores de desempeño de procesos genéricos.8 Hay seis niveles de capacidades y nueve atributos de procesos (PA) asociados. Cada PA tiene indicadores denominados “prácticas genéricas” o un medio para lograr las capacidades que abordan y los “productos de trabajo” necesarios para respaldar la gestión de un proceso.

En el nivel 2, el desempeño de procesos ahora se implementa de manera gestionada (planificada, supervisada y ajustada) y sus productos de trabajo se establecen, controlan y mantienen de forma apropiada. A primera vista, los profesionales podrían pensar que estos requisitos están incluidos en el proceso de auditoría y que se cumplen en el nivel 1, pero la diferencia es el requisito de documentación. Quizás las actividades de la asignación y, desde luego, el informe, se documenten en el nivel 1, pero el proceso en sí debe documentarse.

En el nivel 2, la documentación de procesos debe especificar quién es responsable de su diseño (el propietario del proceso) y su alcance; funciones, cuadro de modelo RACI (responsable, rendición de cuentas, consultado e informado), y la matriz de control interno. En el nivel 3, se requiere un documento que detalle las actividades necesarias para lograr los resultados requeridos del proceso (los “procedimientos del proceso”) y un mapa del proceso y, así, estará completa la documentación del proceso.

Las mismas consideraciones se aplican al resto de los elementos de nivel 2: el producto de trabajo, el plan del proceso, el plan de calidad y el registro de calidad. En este nivel, se establecen aspectos muy importantes del informe de asignación, que abarcan el contenido, los criterios de calidad (respecto de los cuales se realizará la revisión y aprobación), la documentación y el control, que incluyen la identificación, la trazabilidad y las aprobaciones, al igual que los procedimientos para aplicar el control de versiones y cambios.

En el nivel 3, el proceso establecido concluye el nivel 2 y agrega dos productos de trabajo: políticas y estándares, y registros de desempeño de procesos. En este nivel, ahora un proceso gestionado se implementa mediante un proceso definido que es capaz de lograr sus resultados.

Sus indicadores incluyen los siguientes productos:

  • Un proceso estándar definido, que incluye las pautas apropiadas de adaptación, al igual que la secuencia e interacción con otros procesos
  • Competencias y funciones necesarias, al igual que infraestructura para realizar el proceso definido
  • Métodos adecuados para supervisar la eficacia y adecuación del proceso definido

En este punto, surgen preguntas como la siguiente: ¿Cuál es el nivel apropiado para cumplir con las normas profesionales, el nivel 3 o el nivel 1? Los indicadores sugieren la respuesta. Es, como mínimo, el nivel 3: Un proceso definido puede lograr los resultados del proceso, incluidos el proceso de análisis y los resultados de medición de productos, identificar e implementar medidas correctivas, y restablecer el control.

En el nivel 4, el proceso establecido ahora opera dentro de límites definidos para lograr sus resultados de proceso a través de la medición de los resultados y el control del proceso.

Desde luego, el nivel 5, Optimización del proceso, es un excelente objetivo, y para alcanzarlo deben asignarse recursos y esfuerzos.

Conclusiones

Los auditores de SI y TI, los profesionales de aseguramiento y los evaluadores deben cumplir con diferentes normas profesionales, al igual que mantener y mejorar su propio proceso de trabajo en el nivel de capacidad apropiado para alcanzar el objetivo de la asignación definido por los empleadores, gerentes ejecutivos, consejos de administración, clientes, patrocinadores o revisores externos. Esto se puede lograr transformando los propios procesos de los auditores, profesionales de aseguramiento y evaluadores a través de la aplicación del Programa de Evaluación de COBIT 5.

Notas Finales

1 ISACA, COBIT Assessor Guide: Using COBIT 5, USA, 2013, www.isaca.org/COBIT/Pages/Assessor-Guide.aspx
2 ISACA, COBIT Self-assessment Guide: Using COBIT 5, USA, 2013, www.isaca.org/COBIT/Pages/Self-Assessment-Guide.aspx
3 ISACA, COBIT Process Assessment Model (PAM): Using COBIT 5, USA, 2013, www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx
4 Op cit, ISACA, COBIT Self-assessment Guide
5 ISACA, ITAF: A Professional Practices Framework for IS Audit/Assurance, 3.ª edición, EE. UU., 2014, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ITAF-3rd-Edition.aspx
6 Normas internacionales para el ejercicio profesional de la auditoría interna (Normas) del Instituto de Auditores Internos, EE. UU., 2012, https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx
7 Op cit, COBIT Assessor Guide: Using COBIT 5
8 Op cit, ISACA, COBIT Process Assessment Model (PAM)

Graciela Braga, CGEIT, COBIT Foundation, CPA, es vicepresidente de la Comisión de Estudios sobre Sistemas de Registro del Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires, CABA, Argentina. Además, es investigadora en el Instituto Autónomo de Derecho Contable, Argentina. Ha trabajado en auditorías y revisiones de control interno en entidades públicas y privadas, en las que utilizó marcos internacionales como COBIT, COSO y la serie ISO 27000. Ha participado en la preparación y evaluación de productos e investigaciones de ISACA relacionados con COBIT, privacidad y big data.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.